Оказалось, что DDoS-защиту Cloudflare можно обойти с помощью инструментов, предлагаемых самой компанией Cloudflare. Стефан Прокш, австрийский инженер по безопасности, обнаружил уязвимость, воспользовавшись некоторыми логическими недостатками в управлении межклиентской безопасностью. Все, что ему было нужно, - это бесплатная учетная запись Cloudflare и целевой IP-адрес.
Проблема связана с общей инфраструктурой Cloudflare, которая принимает соединения от всех пользователей. Она обладает двумя уязвимостями – одна касается запросов Authenticated Origin Pulls, вторая же касается “белого списка”.
Authenticated Origin Pulls - это функция, обеспечивающая, чтобы запросы, отправляемые на исходный сервер, проходили через Cloudflare (а не от потенциального злоумышленника). Серверы обратного прокси Cloudflare используют SSL-сертификаты для аутентификации на исходном сервере (сервере, на котором размещен сайт). Это позволяет обеспечить безопасность связи между Cloudflare и исходным сервером.
Злоумышленник может воспользоваться этими уязвимостями, выполнив следующие действия:
- Злоумышленник устанавливает пользовательский домен в Cloudflare и указывает в DNS A-запись на IP-адрес жертвы (сервер происхождения).
- Затем злоумышленник отключает все средства защиты для этого пользовательского домена в своем Cloudflare.
- Теперь они могут направлять свои атаки через инфраструктуру Cloudflare, используя общий сертификат, фактически обходя средства защиты, установленные жертвой.
По мнению Прокша, проблема безопасности может быть решена только путем использования пользовательских сертификатов. Однако использование пользовательских сертификатов требует от клиентов создания и поддержки собственных сертификатов origin pull, что может быть менее удобно, чем использование сертификата Cloudflare.
